freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

铭说|勒索软件Conti新毒株
  • 关注
铭说|勒索软件Conti新毒株
2023-01-30 20:02:57
所属地 江苏省

近期发现了多种基于Conti勒索软件泄露源代码创建的勒索软件毒株,例如ScareCrow、BlueSky、Meow、Putin Team等。本篇将对这些毒株进行介绍,并给出安全防护建议。

图片图 1 – Conti泄露代码新变体

01 ScareCrow勒索软件

ScareCrow 是一种基于 Conti 勒索软件的新勒索变体。执行后,它会加密文件并附加crow作为扩展。该勒索软件会释放名为“自述文件.txt”的赎金记录,其中包含三个用于联系威胁行为者 (TA) 的 Telegram (一个跨平台的即时通讯软件)地址。下图显示了ScareCrow勒索软件的赎金记录:

图片

图2 –ScareCrow赎金票据

02 BlueSky勒索软件

BlueSky勒索软件最初于2022年下半年出现。该勒索软件与Conti和Babuk勒索软件(源代码于2021年泄露)表现出一些相似之处和重叠之处。BlueSky勒索软件使用洋葱站点与受害者互动,会加密文件并添加 .bluesky后缀。此勒索软件丢弃的赎金记录名为“# DECRYPT FILES BLUESKY #.txt”,其中包含解密文件的说明。

图片图 3 – BlueSky的赎金票据

03 Meow勒索软件

Meow也是最近被发现的一种勒索软件,该变种基于Conti勒索软件,加密受害者的文件并附加.meow作为扩展。它会释放一个名为“readme.txt”的赎金记录,其中包含四个电子邮件地址,以及受害者可以用来交互的两个Telegram地址。下图显示了Meow勒索软件的赎金记录:

图片图 4 – Meow勒索软件赎金票据

04 Putin勒索软件

Putin Team作为新出现的勒索软件组织,可能已经更改了Conti勒索软件泄露的源代码以生成勒索软件二进制文件。这个团体伪装成来源于俄罗斯,但目前没有有效的证据来证实这一点。普京团队使用Telegram披露其受害者的详细信息。到目前为止,该组织已在他们的Telegram频道上发布了两名受害者的详细信息。

图片图 5 – Putin Team在Telegram上的频道

执行后,该勒索软件会在每个文件夹中放置名为README.txt的赎金记录。赎金票据包含电报链接、受害者的ID以及解密文件的进一步说明。下图显示了赎金票据:

图片图6 –赎金票据

技术分析:

在执行Putin勒索软件二进制文件(SHA256:fe311979cd099677b1fd7c5b2008aed000f0e38d58eb3bfd30d04444476416f9)时,它会动态解析模块名称并加载它们以执行。通过解析勒索软件模块名称,发现包括 Iphlpapi.dll、Netapi32.dll、Oleaut32.dll、Rstrtmgr.dll、Shell32.dll、Shlwapi.dll、ntdll.dll、Shell32.dll、Ole32.dll 和 Advapi32.dll。

解析模块名称后,勒索软件会复制硬编码的赎金记录,如下所示:

图片图7 –复制赎金票据

在此之后,勒索软件会创建一个名为“hsfjuukjzloqu28oajh727190”的互斥体(Mutex),以确保受害者的计算机中运行一个恶意软件实例,如下图所示:

图片图 8 – 创建互斥量

勒索软件现在使用GetLogicalDriveStringsW()方法获取受害者机器中的驱动器列表。然后,它枚举驱动器中存在的文件夹/文件,这些文件夹/文件已标识为进一步加密,如下所示:

图片图 9 – 调用 GetLogicalDriveStringsW()

在枚举目录时,勒索软件会创建名为“readme.txt”的赎金记录,并将其放在遇到的每个文件夹中。现在,勒索软件使用诸如CreateIOCompletionPort(),PostQueuedCompletionStatus(),GetQueuedCompletionPort()等API创建多个线程以加快加密速度。

该勒索软件对其加密文件使用 ChaCha20 加密算法。ChaCha20 是一种对称流密码,由于其快速的加密过程而被勒索软件组织广泛采用。加密文件后,它通过附加.putin作为扩展,如下所示:

图片图10 –加密文件

05 防护建议

勒索软件会使个人及企业用户丢失有价值的数据和敏感信息,造成组织运营中断,带来经济和名誉损失。对此,聚铭专家给出下列建议:

一、防止勒索软件攻击所需的安全措施

1.执行定期备份,并将这些备份保持脱机或保存在单独的网络中。

2.尽可能在计算机、移动设备和其他连接的设备上打开自动软件更新功能。

3.在您的连接设备(包括 PC、笔记本电脑和移动设备)上使用知名的防病毒和互联网安全软件包。

4.避免在未验证其真实性的情况下打开不受信任的链接和电子邮件附件。

二、在勒索软件攻击后,用户应采取以下步骤

1.分离同一网络上的受感染设备。

2.断开外部存储设备(如果已连接)。

3.检查系统日志中是否存在可疑事件。

# 勒索软件 # 恶意勒索软件 # 勒索软件分析 # Conti
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
01 ScareCrow勒索软件
    02 BlueSky勒索软件
      03 Meow勒索软件
        04 Putin勒索软件
          05 防护建议